+ Antworten
Ergebnis 1 bis 6 von 6

Thema: Eigene Komponenten erstellen & Sicherheit

  1. 11.07.2011 06:36 #1
    5ky
    5ky ist offline
    Neu an Board
    Registriert seit
    26.07.2010
    Beiträge
    48
    Bedankte sich
    5
    Erhielt 3 Danksagungen
    in 3 Beiträgen

    Cool Eigene Komponenten erstellen & Sicherheit

    Morgen,

    inzwischen gibts ja im Netz so einige Tutorials, wie man selbst Erweiterungen für Joomla schreibt. Ich persönlich habe vor ein paar Jahren mit der Seite von Hagen Graf meine ersten Erfahrungen gemacht.
    Weiterhin habe ich auch mit Galileo Computing "gebastelt" und letztendlich wohl die beiden wichtigsten Seiten Docs Joomla und das Joomla-Nafu Wiki.

    Somit kann im Grunde jeder halbwegs intressierte und motivierte User seine eigenen Erweiterungen schreiben. Und wenn man an irgendwelchen Stellen hängt hilft einem fleißig Goolge oder diverse Foren weiter. Natürlich dürfen auch die vielen PHP-Seiten etc nicht vergessen werden.

    ABER:
    Wie siehts denn mit der Sicherheit der Erweiterungen aus. Es ist klar, dass gerade diese Tutorials aufs Minimum was Sicherheit angeht reduziert sind, um die Sachen Anfängern überhaupt mal näher zu bringen.

    Dieser Thread soll einfach mal diverse Grundregeln an den Tag bringen, eine kleine Linksammlung etc.
    Leider wird auf Joomla Sicherheit gerade der Bereich Entwicklung nicht angeschnitten.
    Ich hab zwar auf Joomla Docs was gefunden, aber ich denke das ist auch nur ein ganz kleiner grundlegender Teilbereich.

    Kennt jemand gute Seiten, die genau dieses Thema behandeln oder kann gar den ein oder anderen Trick schreiben und vor allem auch begründen, warum und wofür seine Zeilen sinnvoll sind?

    Als Beispiel:
    MySQL Injections sollte man ja sämtliche Formularfelder Filtern, Escapen etc. Was davon nimmt mir aber bereits das Framework von Joomla ab und was muss ich dabei beachten, damit es mir das auch abnimmt? Reicht es den Datentyp in der table.php zu setzen? Muss ich im Controller dennoch jedes einzelne Feld Filtern und ihm eine Zeile widmen? Oder im Model in der STORE Methode?

    Weitere Fragen die mir gerade einfallen würden:
    • Was muss ich bei eigenen Session-Variablen beachten
    • um eine Globale Information (z.b. eine zusätzliche Variable in der configuration.php) was gibt es hierbei zu beachten
    • wie gestalte ich einen Sicheren Datei Upload (Datei- und Mime-Typen)
    • etc.

    LG
    5ky
    Zitieren Zitieren

  2. Erhielt Danksagungen von:

    breaker
  3. 11.07.2011 13:56 #2
    elkuku
    elkuku ist offline
    Joomla Guru Avatar von elkuku
    Registriert seit
    14.06.2006
    Ort
    Guayaquil - Südamerika
    Beiträge
    1.689
    Bedankte sich
    74
    Erhielt 517 Danksagungen
    in 397 Beiträgen
    elkuku eine Nachricht über Skype™ schicken

    Standard

    Ein wichtiges Thema, keine Frage. Leider gibt es auch im Nafu-wiki nicht wirklich viel... einzig ein Artikel den irgend jemand (...) mal von den docs kopiert hat und leider noch nicht übersetzt hat...
    Alles was Du zu diesem Thema findest darfst Du gerne im Wiki einbringen - Thanks
    Gruß,
    Nikolai
     Hilf mit: Deutsche Joomla! Dokumentation Help testing: EasyCreator Noch Fragen ? Forum.Joomla-Nafu.de
    Zitieren Zitieren
  4. 09.11.2011 08:23 #3
    breaker
    breaker ist gerade online
    Verbringt hier viel Zeit
    Registriert seit
    09.08.2008
    Ort
    /dev/null
    Beiträge
    552
    Bedankte sich
    17
    Erhielt 63 Danksagungen
    in 62 Beiträgen

    Standard

    Das Thema würde mich auch brennend interessieren, zumal ich ja immer wieder an Aufträge komme, wo Request-Vars (Get/Post) ungefiltert in der DB abgefragt werden, Joomla bietet da ja schon eigene Funktionen zum Escapen von Vars usw., aber leider findet man darüber (und über die Anwendung) nur sehr wenig Infos

    Linux (und Joomla) ist wie guter xes, man kann es beschreiben oder darüber reden,
    mann weiß erst was es bedeutet, wenn man es erlebt hat :-)

    Zitieren Zitieren
  5. 09.11.2011 13:44 #4
    Måria
    Måria ist offline
    Verbringt hier viel Zeit
    Registriert seit
    31.05.2008
    Beiträge
    801
    Bedankte sich
    0
    Erhielt 268 Danksagungen
    in 214 Beiträgen

    Standard

    Der Weg ist falsch herum gedacht. Es darf nicht heißen: "Was bietet mir Joomla! um meine Komponente sicher zu machen". Als allererstes sollte man sich so lange mit PHP beschäftigen, bis man seine Scripte sicher machen kann. Wenn man nun weiß, worauf es ankommt, dann kann man in Joomla! schauen, was das Framework bietet um die Arbeit zu erleichtern. Programmieren lernen mittels Joomla! selbst ist der falsche Weg.

    Wenn man das nicht kann, dann muss man halt mal einen Auftrag ablehnen.
    lg Måria
    Zitieren Zitieren
  6. 31.03.2012 17:29 #5
    breaker
    breaker ist gerade online
    Verbringt hier viel Zeit
    Registriert seit
    09.08.2008
    Ort
    /dev/null
    Beiträge
    552
    Bedankte sich
    17
    Erhielt 63 Danksagungen
    in 62 Beiträgen

    Standard

    Zitat Zitat von Måria Beitrag anzeigen
    Der Weg ist falsch herum gedacht. Es darf nicht heißen: "Was bietet mir Joomla! um meine Komponente sicher zu machen". Als allererstes sollte man sich so lange mit PHP beschäftigen, bis man seine Scripte sicher machen kann. Wenn man nun weiß, worauf es ankommt, dann kann man in Joomla! schauen, was das Framework bietet um die Arbeit zu erleichtern. Programmieren lernen mittels Joomla! selbst ist der falsche Weg.

    Wenn man das nicht kann, dann muss man halt mal einen Auftrag ablehnen.
    Das man nicht Kopflos drauf rum scripten sollte, war mir eigentlich klar, aber in 1. Linie frage ich mich tatsächlich: Was bietet mir Joomla zum Absichern von Vars, wenn die benötigte Funktion nicht enthalten ist (was ich nicht glaube), muss ich es eben selber schreiben...wie die Klamotte, womit ich komplette Arrays escapen kann (zb. vom _POST), das hat aber nichts mit Joomla zu tun, sondern ist ein anderes Projekt

    Linux (und Joomla) ist wie guter xes, man kann es beschreiben oder darüber reden,
    mann weiß erst was es bedeutet, wenn man es erlebt hat :-)

    Zitieren Zitieren
  7. 31.03.2012 18:59 #6
    elkuku
    elkuku ist offline
    Joomla Guru Avatar von elkuku
    Registriert seit
    14.06.2006
    Ort
    Guayaquil - Südamerika
    Beiträge
    1.689
    Bedankte sich
    74
    Erhielt 517 Danksagungen
    in 397 Beiträgen
    elkuku eine Nachricht über Skype™ schicken

    Standard

    Was willst Du jetzt genau damit sagen ??

    BTW... Die Seite wartet noch immer auf eine Übersetzung und/oder Aktualisierung
    http://wiki.joomla-nafu.de/joomla-do...programmierung

    Edith: Die Seite sollte vielleicht auch mal die neue JInput Klasse behandeln.. http://api.joomla.org/Joomla-Platfor...on/JInput.html
    Geändert von elkuku (31.03.2012 um 19:05 Uhr)
    Gruß,
    Nikolai
     Hilf mit: Deutsche Joomla! Dokumentation Help testing: EasyCreator Noch Fragen ? Forum.Joomla-Nafu.de
    Zitieren Zitieren
+ Antworten
« Vorheriges Thema | Nächstes Thema »

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein

Foren-Regeln